作者hateh (hateh)
看板MIS
标题[请益] fortigate policy问题
时间Sat May 28 00:47:43 2016
各位大大好
最近碰到个问题
主要是要管控员工上网限制(禁止FB line youtube 等等,但开放skype)
不过又希望可以分群组限制
例如有些人可以上FB line但不能上youtube QQ
目前初步想法如下
Lan->Wan
^^^^^^^^
policy编号 ||src_addr || dst_addr|| service|| Action|| Web filter||App filter
_____________________________________________________________________________
1 FB_on all any accept (Web filter跟Appfilter
line_on 配合src_addr名称去过滤)
youtube_off
.
.
.
N all all any accept (Web跟filter挡掉FB
line,youtube,
但开放skype)
基本上想根据个人电脑ip去看他可以上什麽不能上什麽
然後把该ip分配到对应的src_addr group
不过这种作法随着想限制的软体越多就必须规划越多的src_group跟对应的filter组合
不知有没更聪明的作法QQ
有熟悉fortigate的大大可以赐教吗
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.224.204.206
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1464367665.A.FDA.html
※ 编辑: hateh (61.224.204.206), 05/28/2016 00:48:13
※ 编辑: hateh (61.224.204.206), 05/28/2016 00:49:34
1F:→ littlecut: 想当初FG跟ad整合用fsso弄好久QAQ 05/28 04:39
2F:推 trumpete: 问个外行的问题 请问 forti 的 web filter app filter 05/28 09:43
3F:→ trumpete: 这两个功能是不是要加买 license 才会有? 05/28 09:43
4F:推 yamaraja: 是的, app 控管,web filiter, 这些统称UTM模组,都得加购 05/28 10:04
5F:→ voodist: 其实 一个group套一个filter就好了 最後一行就全部deny 05/28 10:05
6F:→ yamaraja: 之前玩的是FSSO 的前身, 叫FSAE, 这个要在DC 上装agent 05/28 10:05
7F:推 liskenny: 我曾想搞过 当时SI建议整合交换器搞802.1Q配FW 政策 05/29 16:07
8F:→ liskenny: 然後再用FW物件去分配谁可用谁不能用 甚至设时段 05/29 16:08
9F:→ liskenny: 不过一来交换器不给换来整合 二来人多嘴杂意见多 搞不成 05/29 16:08
10F:推 sssxyz: 802.1Q应该是ip base管控 结合AD的话就不需要强分网段 05/30 07:54
11F:→ infosec: 看不懂.. dot1q vlan tagging和这需求有什麽关系 05/30 09:29
12F:嘘 fredwei1031: 是哪间si推荐使用802.1q这麽专业 05/30 11:22
13F:推 liskenny: 如果有认知错误或技术错误认知 请直接指正就好 不需酸吧 05/31 09:55